Le certificat électronique à la « volée » comme succédané à la signature électronique présumée fiable : pour qui ? Pour quoi ?
Face aux lourdeurs techniques et procédurales de la signature électronique qualifiée, s'est développé le certificat électronique à la « volée ». La validité de celle-ci doit être, à la vue des textes comme des jurisprudences, étudiée avec soin avant de l'employer pour la contractualisation en ligne.
PublicitéLa signature électronique a été introduite en droit français par une loi du 13 mars 2000, il y a plus de 15 ans donc. Le bilan de ces 15 années d'existence légale est assez simple et rapide à dresser. Alors que les législateurs, français et européen, avaient envisagé la signature électronique comme une technologie indispensable au développement du commerce en ligne, il n'en a rien été.
En 15 ans, le e-commerce a acquis un poids économique considérable sans recourir à la signature électronique pour la passation des transactions en ligne. Lorsque vous achetez en ligne, vous cliquez pour accepter mais jamais, ou alors quasiment jamais, vous ne signez pour accepter. Il n'y a que dans les marchés publics électroniques, là où une autorité administrative a le pouvoir d'imposer une technologie, que la signature électronique s'est répandue.
Les raisons du désintérêt pour la signature électronique sont multiples. Il s'agit d'abord d'une technologie particulièrement peu intuitive. Alors que la signature manuscrite est aussi naturelle que le mouvement du poignet qui la trace, la signature électronique requiert un apprentissage important pour celui qui l'utilise.
Il ne faut pas s'en étonner. Les techniques informatiques et cryptographiques qui mettent en oeuvre la signature électronique n'ont absolument pas été conçues pour tenir lieu de signature au sens légal du terme. Elles ont d'abord été créées dans un but de confidentialité de la communication d'un message sur un réseau de télécommunication et de vérification de l'intégrité dudit message.
Les considérations de vérification de l'état civil du signataire et de conservation sur une durée de prescription légale du document signé n'étaient pas présentes à l'esprit des concepteurs de ces technologies. Dès l'origine, la signature électronique pâtit de ce détournement fonctionnel.
C'est particulièrement sur un point qu'achoppe la généralisation de la signature électronique : la vérification initiale de l'identité du détenteur de la signature.
Reprenons les textes.
De la difficulté d'identifier le signataire en ligne
L'article 1316-4 du code civil nous apprend dans son premier alinéa que « la signature nécessaire à la perfection d'un acte juridique identifie celui qui l'appose ». L'alinéa second de l'article développe le principe en précisant que « lorsqu'elle est électronique, [la signature électronique] consiste en l'usage d'un procédé fiable d'identification garantissant son lien avec l'acte auquel elle s'attache ».
Il faut donc trouver un processus fiable d'identification du signataire. Le décret d'application du 30 mars 2001 nous vient en aide. Celui-ci pose les conditions techniques selon lesquelles un dispositif de signature électronique sera présumé fiable. Plus précisément, cette fiabilité est présumée lorsque le procédé met en oeuvre une signature électronique sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la vérification de cette signature repose sur l'utilisation d'un certificat électronique qualifié.
PublicitéAttardons nous ce sur dernier élément. Un certificat électronique qualifié doit être délivré au signataire par un Prestataire de Services de Certification Electronique (PSCE), parfois appelé de manière impropre « tiers de confiance », lui même « qualifié » conformément à un arrêté du 26 juillet 2004.
Il est intéressant de relever dans cet arrêté l'article 3 de son annexe qui précise que : « la vérification de l'identité de la personne à laquelle le certificat électronique qualifié est destiné est effectuée en sa présence sur présentation d'un document officiel d'identité comportant une photographie (notamment carte nationale d'identité, passeport, carte de séjour) par le prestataire de services de certification électronique ou par un mandataire qu'il désigne et qui s'engage auprès de lui par contrat ».
Le noeud du problème est ici : pour disposer d'une signature électronique présumée fiable, il faut vérifier l'identité du signataire « en sa présence ». C'est une contrainte qui interdit de voir généraliser l'usage de la signature électronique dans le commerce en ligne, sauf à ce que nous disposions tous un jour d'un tel certificat dans notre carte d'identité à puce. Mais nous n'en sommes pas là.
Le certificat électronique « à la volée » comme solution de contournement
Face à l'impossibilité pratique d'identifier en « face à face » un signataire avant de lui remettre son certificat électronique, s'est développée une technique consistant à attribuer au signataire un certificat électronique dit « éphémère » ou encore généré « à la volée ».
Ce certificat est en réalité généré par la plateforme, ou pour le compte de la plateforme, qui entend recevoir la signature électronique d'une personne « de l'autre côté » de la relation en ligne. Il ne sera utilisé qu'une seule fois, pour la signature de l'acte auquel il est destiné, puis immédiatement détruit.
Souvent, pour être « activé » lors de la signature du document en ligne, un code d'activation du certificat va être adressé au signataire par SMS. Dans les faits, ces opérations sont « invisibles » et même assez peu comprises par le signataire qui va, dans la plupart des cas, se contenter de reporter à l'écran le code qu'il vient de recevoir par SMS sans comprendre les processus techniques induits.
Ce n'est donc pas le signataire qui « amène » son certificat électronique pour apposer sa signature électronique, la personne qui souhaite recueillir la signature électronique lui en fournit un. D'où deux incongruités techniques au regard des textes régissant la signature électronique que nous avons rappelés : la remise du certificat se fait en ligne et non « de la main à la main » par la remise d'un support cryptographique de type clé USB, la vérification de l'identité de la personne à laquelle on remet le certificat ne s'opère pas lors de la remise du certificat. C'est là tout le « sel » de l'opération.
Si l'on veut que le certificat électronique « à la volée » ait un tant soit peu d'utilité juridique, il faut avoir vérifié l'identité de la personne à laquelle on remet le certificat d'une autre manière, avant de le lui remettre en ligne et, lors de la remise du certificat en ligne, il faut s'assurer que l'on remet à la bonne personne...
Admettons par exemple, pour reprendre un cas d'usage du certificat électronique à la « volée », que je sois une banque, disposant d'un réseau d'agences. Lors d'une rencontre physique avec mon client en agence, j'aurais pu m'assurer de son identité réelle, avec une pièce d'identité officielle, et j'aurais pu recueillir son numéro de téléphone portable.
Lorsque cette personne, que je connais déjà, contractera en ligne avec moi avec un certificat électronique « à la volée », je disposerai d'un ensemble d'éléments me permettant de disposer d'une preuve assez fiable qu'il s'agit bien d'elle. La fiabilité de la preuve tient ici à ma capacité de m'assurer de l'identité de la personne par un autre moyen qu'au cours de la relation en ligne.
Si je n'ai pas cette capacité, l'usage du certificat à la volée devient beaucoup moins fiable.
On pourra user de stratagèmes en considérant que si je ne me suis pas assuré moi-même de l'identité du signataire, quelqu'un l'a fait à ma place. Qui ? L'opérateur de téléphonie mobile. Lorsque le signataire déclare un numéro de téléphone portable sur lequel recevoir le SMS fournissant le code d'activation du certificat électronique, l'opérateur pourra disposer de l'identité du titulaire du numéro, car celui-ci dispose d'un réseau de point de vente et il s'est assuré de l'identité de son client lors de la prise de l'abonnement. Mais pas toujours... Car il est aujourd'hui possible de souscrire en ligne des abonnements de téléphonie mobile. Arrivé à ce stade de l'exemple, on constate que le certificat électronique à la volée ne prouve plus grand-chose en terme d'identité.
Le certificat électronique à la volée, un accueil chaotique par les tribunaux
L'usage du certificat électronique à la volée tendant à se développer plus vite que celui de la signature électronique conforme à l'épure des textes la régissant, les tribunaux commencent à se prononcer sur la validité du recours à ce type de certificats.
Les deux premières affaires que nous commentons sont assez similaires. Il s'agissait pour les juges de se prononcer sur la validité d'un avenant à un contrat de crédit à la consommation. Le contrat initial était un contrat papier mais l'avenant, ayant augmenté le découvert autorisé, avait été conclu en ligne avec utilisation d'un certificat électronique « à la volée ».
La Cour d'appel de Douai, dans sa décision du 2 mai 2013, a reconnu la validité de l'avenant signé en ligne mais au motif que la fiabilité de la signature électronique n'était pas déniée par l'emprunteur... Autant dire que l'on ne peut tirer aucun enseignement de cette décision.
En appel également, la Cour de Nancy, dans son arrêt du 14 février 2013, retient la validité de la signature électronique en ligne d'un avenant à un contrat de crédit avec certificat à la « volée ». Dans cette affaire, on ne peut s'empêcher de penser que les magistrats, confrontés sans doute pour la première fois à une question de cet ordre, se sont un peu fourvoyés sur les preuves qu'on leur présentait. En effet, dans l'arrêt de la Cour de Nancy, les conseillers relèvent comme seule justification de la fiabilité du dispositif de signature que la banque demanderesse « produit aux débats le fichier de preuve de la transaction émis par l'autorité de certification ». Certes. On ne voit pas en quoi cela prouve que le défendeur est bien la personne ayant signé en ligne l'avenant.
Plusieurs autres affaires ont trait à l'usage d'un certificat électronique « éphémère » sur des plateformes qui assurent un rôle d'intermédiaire pour saisir des juridictions où la représentation par avocat n'est pas obligatoire comme le tribunal d'instance ou le tribunal de commerce.
Les décisions sont contrastées. Certaines juridictions refusent de considérer la validité de leur saisine par ce biais (Juridiction de proximité Paris 2e arr., 30 avr. 2013 et Juridiction de proximité Rodez, 10 avr. 2014). D'autres l'acceptent mais parce que le demandeur a confirmé par la suite, par un acte écrit papier, qu'il était bien l'auteur de la déclaration de saisine en ligne... ce qui revient à ruiner l'utilité de la signature électronique en ligne (Cour d'appel d'Aix-en-Provence 26 juin 2014, Cour de cassation 5 mars 2015).
Il y a enfin les juridictions qui reconnaissent la validité de la signature électronique avec un certificat éphémère mais d'une façon qui n'emporte pas la conviction et qui laisse donc planer un doute sur le maintien de ces jurisprudences.
Ainsi, dans l'affaire du 19 décembre 2014, le juge de proximité du TGI de Nantes retient la validité de la signature électronique au motif que signature en question « a reçu la certification » du PSCE, « conforme au décret du 30 mars 2011, permettant de lui conférer la même force probante que la signature papier, en application des articles 1316-3 et 1316-4 du Code civil et d'assurer l'identité du signataire ».
Or, ce qui est attesté par le prestataire en question, c'est d'avoir généré un certificat pour une personne déclarant son identité et non l'identité de la personne disposant du certificat en cause... une nuance de détail. Les juges ont donc tiré des conséquences et des qualifications légales d'une attestation qui ne permettait pas de les tirer.
On soulignera en outre que l'attestation émane du fournisseur de la technologie mise en cause. On n'imagine assez peu ce fournisseur faire une attestation déniant l'utilité de la technologie qu'il fournit. Il n'est pas question de mettre en cause la bonne foi de ce fournisseur ni même la fiabilité technique du certificat fourni. Cependant, on se doit de souligner que, juridiquement parlant, celui-ci n'est pas un tiers vis-à-vis des parties au litige puisqu'il est en lien contractuel avec l'une des parties : il s'agit du fournisseur de la technologie de signature qui est rémunéré par la société souhaitant recourir à ses services.
Face à la contestation de la validité de la signature électronique par celui auquel on l'opposait, le juge n'avait en réalité qu'une seule option : relever en quoi, en l'absence de présomption de fiabilité, la signature était néanmoins fiable. Pour ce faire, il ne peut se contenter d'une déclaration du fournisseur de la technologie de signature lorsque cette technologie n'a pas fait l'objet d'une certification conformément à l'arrêté du 26 juillet 2004.
S'il ne s'estime pas en mesure de le faire lui-même, le juge doit demander une expertise technique. Le demandeur n'a rien à craindre d'une telle expertise si la technologie de signature électronique utilisée est fiable. Ne bénéficiant pas de la présomption de fiabilité instituée par l'article 1316-4, il pourra l'établir lors de l'expertise.
Il s'agit de preuves et il s'agit d'un procès. On souhaiterait que l'approximation juridique et technique ne règne pas sur ces sujets.
Article rédigé par
Etienne Papin, Avocat associé du cabinet Feral-Schuhl / Sainte-Marie
Avocat au Barreau de Paris, Etienne Papin exerce dans les domaines du droit de l'informatique, de l'internet et des médias. Il conseille des SSII, éditeurs de logiciels, grandes entreprises et personnes publiques pour la rédaction et la négociation de leurs contrats informatiques. Il assiste également ces entreprises lors de procédures judiciaires. Il est associé du cabinet Feral-Schuhl / Sainte-Marie.
Suivez l'auteur sur Google+, Linked In, Twitter
Commentaire
INFORMATION
Vous devez être connecté à votre compte CIO pour poster un commentaire.
Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire